Múltiples vulnerabilidades en Foxit Reader y Foxit PhantomPDF
Foxit ha corregido un total de 15 vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF (versiones 7.3.4.311 y anteriores) que podrían permitir a un atacante provocar denegaciones de servicio, obtener información sensible o la ejecución de código arbitrario.
Foxit es un lector de PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDFs. Se encuentra disponible para sistemas operativos Windows y GNU/Linux, y en forma de plugin para navegadores web. Supone una alternativa más ligera y menos “atacada” al lector de Adobe.
Los problemas corregidos se deben a un uso de memoria después de liberarla al tratar archivos XFA y al procesar imágenes inline en documentos PDF, ejecución de código por salto de restricciones exportData, lecturas fuera de límites en el tratamiento de archivos JPEG y al convertir archivos JPEG con datos EXIF a PDF y escritura fuera de límites al convertir archivos TIFF, GIF o BMP a PDF.
También se han detectado desbordamientos de búfer al tratar archivos TIFF, a gestionar cadenas GoToR específicamente creadas y al analizar archivos PDF con datos Bezier específicamente creados. Un error por uso de un puntero sin inicializar al tratar imágenes ampliadas en documentos PDF y un cierre de la aplicación con archivos PDF que contengan una descripción de imagen específicamente manipulada.
Los problemas afectan a versiones Foxit Reader y Foxit PhantomPDF 7.3.4.311 y anteriores y han sido corregidos en la versión 8,0 de ambos productos.
Para actualizar las aplicaciones se puede realizar desde:
La pestaña “Help” de Foxit Reader o Foxit PhantomPDF, en la opción “Check for Update”.
O descargando las versiones actualizadas desde:
https://www.foxitsoftware.com/downloads/#Foxit-Reader
tomPDF-Business
Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/07/multiples-vulnerabilidades-en-foxit.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.